Lücke in Software zur Überwachung von Industrieanlagen geschlossen [Update]
Im Protocol Server des Herstellers LiveData zum Sammeln und Weiterleiten von Prozessdaten in SCADA-Umgebungen steckte eine kritische Lücke.
- Daniel Bachfeld
Der Sicherheitsdienstleister iDefense hat eine Sicherheitslücke in Protocol Server des Herstellers LiveData gemeldet, mit der Angreifer das System zum Absturz oder in seltenen Fällen unter ihre Kontrolle bringen können. Da der Protocol Server zum Sammeln und Weiterleiten von Prozessdaten in SCADA-Umgebungen (Supervisory Control and Data Acquisition) Einsatz findet, dürften in diesem Fall beide Angriffsszenarien gleich schwer wiegen. Der Ausfall eines Systems zur Überwachung und Steuerung von Stromnetzen beim Erzeuger FirstEnergy begünstigte 2003 den Blackout 2003, bei dem 50 Millionen Amerikaner zeitweise ohne Strom waren.
Ursache des Problems im Server von LiveData ist ein Fehler im integrierten Webserver des Protocol Server, der auf Port 8080 lauscht. Bestimmte Anfragen für WSDL-Dateien an das SOAP-Interface des Webservers provozieren einen Heap Overflow, über die sich Teile des Speichers beschreiben lassen. In der Regel führt dies nur zu einer Speicherverletzung, in deren Folge der Dienst abstürzt. Sofern man es allerdings schafft den Heap eines anderen Prozesses zu überschreiben, soll auch das Ausführen von eingeschleustem Code möglich sein. Dazu wäre allerdings noch zusätzlich eine Race Condition notwendig, damit der Schadcode startet, bevor der LiveData-Dienst stirbt.
Laut Fehlerbericht wurde die Lücke in der aus dem September stammenden Version 500045 des LiveData Protocol Server gefunden. Der Fehler soll in den Versionen 500062 des RTI, des Protocol Server und des Maintenance Server behoben sein. Aktuell ist bereits 500069 verfügbar. Als Workaround schlägt iDefense das Filtern des Port 8080 vor.
Update
Das US-CERT hat einen weiteren Fehler im LiveData Server gemeldet, der ebenfalls zum Absturz des Servers respektive Dienstes führen kann. Schuld ist ein Fehler in der Verarbeitung präparierter Connection-Oriented-Transport-Protocol-Pakete (COTP). Auch dieser Fehler soll seit Version 500062 behoben sein.
Siehe dazu auch:
- LiveData Protocol Server Heap Overflow Vulnerability, Fehlerbericht von iDefense
(dab)